Informática Forense

vtroger.blogspot.com

jueves,febrero18,2010Alvaro Paz

Herramienta para analizar pginas Web con cdigo malicioso.FileInsight es una herramienta gratuita de McAfee ideal para analizar pginas con cdigo malicioso. Entres sus caractersticas destaca: servirpara:testdepenetracin,auditoria,romper contraseas, anlisis forense y Honeypots. Katana incluye las siguientes distribuciones y herramientas:

Permite analizar e importar estructuras en C y C++. Decodifica cdigos en IA-32. DecodificascriptsenJavaScript. Contiene plugins de anlisis automatizado y unpluginparaenviarelficheroaVirustotal para un anlisis completo. Esunaherramientaidealparainvestigarpginas con cdigo malicioso, tanto para un anlisis forense como para una auditoria. FileInsight solo est disponible para la plataforma Windows. Descarga de FileInsight: http://www.webwasher.de/download/fileinsight/ Tutorial de uso de FileInsight: http://www.webwasher.de/download/fileinsight/ tutorial.html

Instalacin de Katana. EsnecesariaunamemoriaUSBde8GBcon6GBde espacio libre. Y despus seguir los siguientes pasos:

Clickheretosendyourfeedback

1. Descargarelarchivokatana-v1.rarydescomprimirlo. 2. Crearunacarpetadenombrebootenel USBycopiarenellalosarchivosdescomprimidos. 3. HacerarrancableelUSB.EnLinuxejecutar elscriptboostinst.shdelacarpetabooty enWindowsejecutarboostinst.batdela carpetaboot. Ms informacin de Katana: http://www.hackfromacave.com/katana.html Descargar Katana: http://mirror.cc.vt.edu/pub/katana/katana-v1.rar

joliprint

Varias distribuciones de seguridad en un solo USB.Con Katana un conjunto de distribuciones de seguridad y herramientas agrupadas en una sola distribucinarrancableenUSB.Katanaeslamejor opcin para tener a mano herramientas que pueden

Herramienta anlisis forense sistema de archivos.SetratadeDigitalForensicsFrameworkesunaherramientadeanlisisforensedesistemadearchivos, dearquitecturamodular.Alestardivididaenmdulosestaherramientapermiterealizarvariastareas

Printed with

http://vtroger.blogspot.com/search/label/Inform%C3%A1tica%20Forense

Page 1

vtroger.blogspot.comHerramienta para analizar pginas Web con cdigo malicioso.

jueves,febrero18,2010

alavezyasagilizarelanlisisforense.Adems est diseada para trabajar sobre la imagen previamenterealizadaaldisco(comoentodobuen anlisis forense no corromper la escena es muy importante). Entre sus caractersticas destaca:

Anlisis forense de cola de impresin de Windows.Esposiblerecuperarelltimoarchivoimpresoen Windowsyvisualizarlo.Pararealizarestatcnica es necesario saber el funcionamiento de la cola de impresin en Windows. Enelmomentoqueseenvaunarchivoaimprimir, secreaunarchivodealmacenamientointermedio enformatoEMF,dondesealmacenaloqueseenva alaimpresoraylasopcionesdeimpresin,suextensionesson:*.SPLy*.SHD.Cuandolaimpresin finaliza, Windows borra estos archivos que se

Recuperacin potentedearchivos borrados. Permiteanalizarelsistemadearchivos detelfonosmvilesyrecuperararchivos borrados. DescifraelcontenidoymetadatosdeSMS paramostrarloscomoenuntelfonomvil. Tieneuneditorhexadecimal. Poseeuninterfazgraficoyconsoladecomandos. Posee un modulo de autodeteccin basado enestructurasdearchivosparalocalizar archivosconextensionescambiadas.


DigitalForensicsFrameworkesunaherramienta de cdigo abierto multiplataforma, muy til para anlisisforensedememoriasUSB,PDA,tarjetasde memoriaytelfonosmviles,yaquesolosoporta FAT12/16/32. Ms informacin y descarga de Digital Forensics Framework: http://www.digital-forensic.org/download-en.html GuadeusodeDigitalForensicsFramework: http://wiki.digital-forensic.org/wiki/dff/DFF_guide

almacenan en: c:\windows\system32\spool\printers Para hacer un anlisis forense del ltimo documento impreso, hay que usar un software de recuperacinparaobtenerlosarchivos*.SPLy*.SHD. UnavezrecuperadoestosarchivosconlaherramientaEMFSpoolVieweresposible:descifrarestos archivos, visualizar el ltimo archivo impreso y obtener las propiedades de impresin utilizadas Para la cronologa de la escena podemos usar los metadatosdelarchivoolafechadeeliminacinya que corresponde con la fecha de impresin. Esta tcnicafuncionaparaWindowsNT/2000/XP/VISTA.

Printed with

joliprint


Page 2



MsinformacinydescargadeEMFSpoolViewer: http://www.codeproject.com/KB/printing/EMFSpoolViewer.aspx Ms informacin sobre la cola de impresin y archivosEMF: http://www.microsoft.com/india/msdn/articles/130. aspx

da que se encuentra en la parte derecha de la barra de herramientas. webappsstore.sqlite: Almacena las sesiones. Estosarchivossegnelsistemaoperativosealmacenan para cada usuario en los siguientes destinos:

Anlisis forense de Mozilla Firefox 3.X.ParaunanlisisforensedeMozillaFirefox3.Xes necesariosaber,cmoydnde,elnavegadorguarda lainformacindelhistorialdenavegacin,correspondiente a cada usuario del sistema. Mozilla Firefox 3.X utiliza bases de datos SQLite para almacenar el historial de los usuarios y mas informacin de inters para un anlisis forense. Losarchivosdebasesdedatosqueutilizasonlos siguientes:

Linux:/home/nombreusuario/.mozilla/ firefox// WindowsXP:C:\Documentsand Settings\nombreusuario\Application Data\Mozilla\Firefox\Profiles\carpetaperfil\ WindowsVista:C:\Users\nombreusuario\AppData\Roaming\Mozilla\Firefox\ Profiles\carpetaperfil\ Hay que tener en cuenta un factor muy importante para realizar la lnea de tiempo en este anlisis forense. Mozilla Firefox utiliza como formato de tiempo PRTime en sus bases de datos. Para realizar la correcta cronologa se necesita entender este formato. PRTime es un formato de tiempo de una longitudde64-bit,queconsisteenelincremento enmicrosegundosdesdelas0:00UTCdel1deenero de1970.UnejemploPRTimees:1221842272303080 quesedescifrara16:37:5219/09/2008UTC. Paraextraerlosdatosdeestasbasesdedatosse pueden usar herramientas para bases de datos SQLite,versuscontenidosytransferirlosaarchivos usandolenguajeSQL.Aunqueesunmtodoms lento, es ms transparente y se puede utilizar el sistemaoperativoqueseprefiera,porqueestasherramientasestndisponiblespara:Windows,Linux yMacOSX. DescargadeherramientasSQLite: http://www.sqlite.org/download.html DocumentacindeherramientasSQLite:


content-prefs.sqlite:Laspreferenciasindividuales para pginas. downloads.sqlite: Historial de descargas. formhistory.sqlite: Contiene los formularios memorizados. permissions.sqlite: Contiene los sitios a los que se le permiti abrir pop-ups. cookies.sqlite:LasCookies. places.sqlite:Losdatosdelosmarcadorese historialdenavegacin. search.sqlite: Historial del motor de bsque-

joliprint

Printed with


Page 3



http://www.sqlite.org/sqlite.html Tambin podemos usar una herramienta automatizadallamadaFirefox3Extractor,quenospermite: Extraertodoslosdatos de bases de datos SQLitedeFirefox3.X, convertirlos en CSV y descifrar las fechas. Crear un informe del historialdenavegacinsacadodeplaces.sqlite enformatoCSVoHTML. Descifrar el PRTime. Firefox3Extractorsoloestdisponibleparalaplataforma Windows. Para usar esta herramienta hay quecopiarlosarchivos*.sqlitedelusuarioaanalizar en la carpeta del programa. MsinformacinydescargadeFirefox3Extractor: http://www.firefoxforensics.com/f3e.shtmlClickheretosendyourfeedback

mapas con sus nmeros de serie. Localizaciones:Lugarmarcadocomocasa, una lista de destinos reci entes y antiguosviajes. Listas de llamadas y mensajes de texto:Cuando est instalado en un telfono mvilpuede contener informacin sobre: llamadas realizadas, llamadas recibidas y mensajes de textoenviadosyrecibidos. Contactos: Aunque no est instalado en un telfonomvilpermiteagregardatosde contactos. En el caso de estar instalado en untelfonomvilaadirlaagendadel telfono como contactos. InformacinconexionesBluetooth: Nombre,identificadorMACylistadedispositivosconectadosconsucorrespondiente identificadorMAC. Informacin del usuario. Tambinhayquetenerencuentalasposiblesfilosofas de trabajo distintas que puede tener los dispositivosGPSTomTom,queson:

Tambin hay que tener en cuenta que este anlisis esintrusivoypreviamentehayquerealizarlaadquisicin de imagen del disco y la recuperacin de datos que hayan sido borrados.

Anlisis forense de dispositivos GPS TomTom.ParajustificarunanlisisdeundispositivoGPSes necesariosaberqueinformacinpodemosextraer del.EnelcasodeTomTompodemosextraer:

Printed with

Informacindeldispositivo:Nmerode seriedeldispositivo,elnmerodemodelo, laversindelprogramaylaversindellos

Modelos TomTom con ranura de tarjeta SD:Lainformacinquequeremosextraer seguardaentarjetasdememoriaSD.La aplicacin y los mapas se almacenan en latarjetaSDyaquenoposeenotromedio de almacenamiento. Dentro de este grupo podemos incluir las PDA y los telfonos mvilesconGPS. Modelos de TomTom con disco duro interno: Toda la informacin se guarda en un disco duro interno y la nica forma de accederesconectandoeldispositivoaunPC.

joliprint


Page 4



Para empezar el anlisis tenemos que tener en cuenta,basndonosenlosdatosrelativosalafilosofadetrabajodeldispositivo,dosmetodologas concretas: Cuando se trata de un TomTom con ranura de tarjeta SD:

Nosedebeencendereldispositivodebidoa que sobrescribir datos sobre su posicin y se corromper el escenario. En caso de PDA otelfonosmvilesconnocargarlaaplicacinessuficiente. RetirarlatarjetaSDyprotegerlacontra escritura,paraevitarasquesepuedacorromper el escenario. Realizar una imagen de la misma. Cuando se trata de un TomTom con disco duro interno:

Printed with

Lamayoradelosdatossonfcilesdeinterpretar, peroelltimoviajerealizadotieneunapeculiariDespus de tener en cuenta estas recomendaciones, dad basada en el funcionamiento de la aplicacin. lainformacinseextraedelossiguientesarchivos: Cuandosetrazaunviaje,existeunpuntoorigeny un punto destino, si se sigue la ruta marcada eses datos quedaran grabados y son fciles de interpretar.Perocuandoenelviajeelusuarioseequivoca *.cfg:Losnombresdelosficherosdependen y la aplicacin recalcula la ruta, el punto origenhttp://vtroger.blogspot.com/search/label/Inform%C3%A1tica%20Forense

Paraextraerlainformacinesnecesario encendereldispositivo.Comoconsecuencia correelpeligrodeactivarlaaplicacinyal recibir la seal de los satlites corromper el escenario. Entonces hay que inhibir la seal de los satlites con una jaula de Faraday, se puede emplear para tal efecto, papel de aluminio,envolviendocompletamenteel dispositivo. Realizar una imagen del disco duro.


delaversinyseencuentraenlacarpeta delmapa.SuelellamarseMapsettings.cfg o(nombredelmapa).cfg.Puedehaberms de un mapa instalado, el mapa actual se puedeencontrarenelarchivocurrentmap. dat.Estsarchivoscfgcontienen:localizacinmarcadacomocasa,favoritos,direccionesmanualmenteincorporadas,viajes recientes,detallesdeantiguosviajes,ltima posicinantesdeapagarlo(soloenmodelos antiguos). CurrentLocation.dat:ltimaposicinantes de apagarlo. ttgo.bifottnavigator.bif:Informacingeneraldeldispositivo,nmerodemodelo, nmero de serie, contrasea de usuario. Settings.dat:ConexionesBluetooth:nombre, identificadorMACylistadedispositivos conectadosconsucorrespondienteidentificador MAC. Informacin introducida por el usuario como: nombre, nmero de telfono, direccin Called.txt:Llamadasrealizadas,enelcaso dequesetratedeuntelfonomvilGPS. HechasatravsdelaaplicacinTomTom. Callers.txt:Llamadasrecibidas,enelcasode quesetratedeuntelfonomvilGPS.RecibidasatravsdelaaplicacinTomTom. Contacts.txt:Informacinacercadelos contactos. Inbox.txt:Mensajesdetextoqueharecibido atravsdelaaplicacinTomTom. Outbox.txt:Mensajesdetextoenviadosa travsdelaaplicacinTomTom,enelcaso dequesetratedeuntelfonomvilGPS.

joliprint

Page 5



variayseriaellugardondeseharecalculadola ruta. Esta situacin puede ser engaosa, a la hora de realizar el anlisis forense, porque el punto origen grabadonoseraeloriginal.Paraevitaresto,hay querecuperartodoslosarchivosborradosdeldisco otarjeta.Graciasaellospodremossaberlaltima rutaexactamenteytambinotrasrutasanteriormente realizadas. Existeunaherramientagratuitaparaanlisisforense de TomTom se trata de TomTology y con ella podemos descifrar: localizacin marcada como casa, losfavoritos,destinosrecientes,ltimosviajes,gua telefnica, contactos, llamadas recibidas y llamadas enviadas. TomTologytambinanalizalosarchivosborrados para realizar un correcto informe. Adems presenta losinformesenformatoHTMLeincluyelaposibilidaddeexportarlosdatosaGoogleEarth. Ms informacin y descarga de TomTology: http://www.forensicnavigation.com/#/pro ducts/4527490520

Esta herramienta simplifica un anlisis de conexionesdeunaaplicacinyaquenohayque capturareltrficoysepararlo,comoseriaenelcaso de usar un sniffer. Esta tcnica se puede utilizar para analizar procesos sospechosos de malware. Pero tambin para anlisis forense de malware, ya que se detectan las accionesdelmalwareenelsistema,lasconexiones de red que establece y a que direcciones las establece. MsinformacinydescargadeoSpy: http://code.google.com/p/ospy/

Anlisis forense router Cisco.Enestepostsevanatratarlasprcticasforenses que se deben aplicar a un router Cisco o basados en Cisco. En primer lugar hay que tener muy claro porque motivosseatacaunrouter.Losprincipalesmotivos son los siguientes: Porque atacar un router:


Ingeniera inversa de procesos que corren en Windows.Podemosrealizaringenierainversasdeprocesos enWindowsaniveldeAPIconlaherramientaoSpy. AltrabajaraniveldeAPIpermiteunavistamuy profunda de los procesos, sus comportamientos y versucdigo.Conestaherramientapodemosmonitorizar los accesos a la red de los procesos: puertos que abre, servicios que emplea Adems podemos simular como afectara un entorno firewall en un proceso con una funcin llamada softwalling que permite aplicar reglasfirewallalprocesomonitorizado.

Printed with

joliprint

Realizar un ataque de denegacindeservicios (DoS)alrouteryalaredalaquepertenece. Comprometerotrosroutersatravsdeel. Desviarfirewallsdered,IDSootrosservicios. Monitorizarygrabareltrficoentranteo saliente de la red. Redirigireltrficodelaredaotropunto.

Tambinhayquetenerclarolafilosofadetrabajo de un router Cisco. Esta compuesto principalmente por dos memorias donde almacena los datos:


Page 6



Lasmemoriasson: Memoria RAM: Es una memoria no persistente, quiere decir que lo que esta almacenado en ella se borra al apagar el equipo. En ella se almacena:

Configuracinactiva. Tablas dinmicas: ARP, Routing, NAT, ViolacionesACL,estadsticasprotocolos Memoria Flash: Es persistente, aun apagando el equipo, esta memoria no se borra. En esta memoria se almacena:

pero despus de recoger informacin, para monitorizarsilaactividadcontinua. Conectarse para realizar el anlisis forense atravsdelpuertoconsoladelrouteryno atravsdelared,porquesecorromperala escena. Grabarlasesincompletadeanlisisdela consolaenunarchivodelog. Ejecutarcomandosquemuestranconfiguraciones, pero nunca ejecutar comandos de configuracindelrouter. Unavezextradalainformacinvoltil, podemosanalizarlasvulnerabilidadesdel routeryescanearsusserviciosatravsdela red.

Despus de tener en cuenta estas recomendaciones, pasamos a los comandos que tenemos que utilizar enlaconsolaparaextraerlaconfiguracinactiva ylastablasdinmicas.Lasesindeconsolaenla que se ejecuten ests comandos, debe ser grabada. Loscomandosson:


Configuracindearranque. ArchivosdelsistemaIOS. Para empezar el anlisis tenemos que tener en cuenta,basndonosenlosdatosrelativosalafilosofa de trabajo del router, una metodologa concreta, que consiste en:

Printed with

Noapagarnireiniciarelrouter,evidentemente perderemos todos los datos almacenadosenlaRAM.Quesontodoslosdatos que importan para el anlisis, sin ests datos, el anlisis no tiene sentido. Aislar el router de la red, sobre todo si el ataqueyaseharealizado.Siempreconel cuidado de no desconectar la alimentacin. En algunas casos se puede realizar sin aislar

showclockdetail showversion showrunning-config showstartup-config show reload show ip route show ip arp show users show logging show ip interface show interfaces show tcp brief all showipsockets showipnattranslationsverbose showipcacheflow show ip cef show snmp user show snmp group

joliprint


Page 7



showclockdetail Tambin podemos utilizar una herramienta automatizada para recabar esta informacin, se trata deCREED(CiscoRouterEvidenceExtractionDisk). Un disco auto arrancable que ejecuta un script para obtener esta informacin, ejecutando estos comandos: #terminallength0 #dir/all #showclockdetail #showntp #showversion #showrunning-config #showstartup-config #showreload #showiproute #showiparp #showusers #showlogging #showinterfaces #showipinterfaces #showaccess-lists #showtcpbriefall #showipsockets #showipnattranslationsverbose #showipcacheflow #showipcef #showsnmpusers #showsnmpgroups #showclockdetail #exit Despus de obtener est informacin pasaremos a encontrarlasvulnerabilidadesoserviciosporlos que se ha podido comprometer la seguridad del router. Paraanalizarvulnerabilidadesutilizamosherramientascomo:RouterAuditTool(RAT)yNipper. Para analizar servicios utilizamos: nmap, Cisco Torch,CiscoSnmpTool

MsinformacinydescargadeCREED(CiscoRouter EvidenceExtractionDisk): http://web.archive.org/web/20040214172413/http:// cybercrime.kennesaw.edu/creed/ Ms informacin y descarga de Cisco Torch, Cisco SnmpToolyRouterAuditTool(RAT)enelpostHerramientasparaasegurardispositivosCisco: http://vtroger.blogspot.com/2008/07/herramientaspara-asegurar-dispositivos.html Ms informacin y descarga de Nipper en el post AuditarseguridadendispositivosCisco: http://vtroger.blogspot.com/2008/04/auditar-seguridad-en-dispositivos-cisco.html

Anlisis forense de elementos enviados a la papelera de reciclaje.Una tcnica de anlisis en sistemas muertos que se utiliza para saber que elementos contiene la papelera de reciclaje, cuando han sido eliminados y quien los elimino. En primer lugar necesitamos saber donde almacena Windows la papelera de reciclaje:


Windows95/98/MEen C:\Recycled\ WindowsNT/2000/XP/ enC:\Recycler\ UnejemploendelaestructuraenunWindowsXP con dos usuarios: C : \ R E C Y C L E R \S-1-5-21-1417001333-343818398-1801674531-1004 C:\RECYCLER\ S-1-5-21-1417001333-3438183981801674531-500 Dentro de estas carpetas de los dos usurarios de estesistemaseencuentranlosarchivosborrados

Printed with

joliprint


Page 8



decadauno.AdemsdeestosarchivosseencuentratambinunarchivollamadoINFO2dondese almacena la informacin sobre cuando se borro y dedondeseborroelarchivo.Sepuedeextraeresta informacinconuneditorhexadecimal,aunquees msfcilutilizarlaherramientarifiuti. Ejemplo: EntramosenlacarpetadeusuarioenlarutaC:\ RECYCLER. C : \ R E C Y C L E R \S-1-5-21-1417001333-343818398-1801674531-500> Yejecutamosrifiuti: rifiutiINFO2>e:\analisis.txt Yelresultadosegeneraenelarchivoanalisis.txt donde aparecer: la fecha y hora de eliminacin, la ruta de donde se eliminaron y el tamao, de todoslosarchivosqueseenviaronalapapelerade reciclaje. RifiutitambinestadisponibleparaLinux.Clickheretosendyourfeedback

Exif),gif,png,bmp,avi,mpg,exe,rar,wav,riff,wmv, mov, pdf, ole (estructura usada por PowerPoint, Word,Excel,AccessyStarWriter),doc(esmaseficiente usar la herramienta para estructuras ole), zip, htm y cpp. ForemostestadisponibleparaLinuxyentresus principales caractersticas destaca la posibilidad de trabajar con imgenes de disco, caracterstica quelaconvierteenunaherramientatilparainformtica forense. Ms informacin y descarga de foremost: http://foremost.sourceforge.net/ Manual de uso de foremost: http://foremost.sourceforge.net/foremost.html

Extraccin y uso de metadatos.Losmetadatos,eslainformacininsertadaenlos archivosporelsoftwaredeedicinocreacinde los mismos, ests metadatos contienen informacin acercadelacreacindelarchivocomo:nombre de autor, autores anteriores, nombre de compaa, cantidaddevecesqueeldocumentofuemodificado, fecha de creacin Los metadatos pueden tener varias aplicaciones como:

Msinformacinydescargaderifiuti: http://www.foundstone.com/us/resources/proddesc/ rifiuti.htm

Recuperar archivos basndose en su estructura.Con la herramienta foremost, que nos permite recuperararchivosbasndoseensuestructurainterna.Estatcnicapermiteunaeficienterecuperacindearchivosdondeotrosoftwarenoescapaz de recuperar. Las estructuras de archivos que reconoce y recupera son: jpg(soporta JFIF y

Printed with

En informtica forense: Para demostrar en unjuicioqueunosarchivosdeimgenes pertenecen a una determinada cmara de fotos. Enataquesasistemasoservidoresweb: Atrevesdelosmetadatospodemosobtener los nombres de posibles usuarios, sistema operativo,nombresderedparadespus realizar un ataque de fuerza bruta. Aqu dejo una lista de herramientas de adquisicin

joliprint


Page 9



de metadatos muy tiles: hachoir-metadata, es una de las mas completas soporta32formatosdistintosdearchivos,yestadisponible para: Debian, Mandriva, Gentoo, Arch y FreeBSD. Ms informacin y descarga: http://hachoir.org/wiki/hachoir-metadata ExifTool,lamejorherramientaparaextraermetadatos de imgenes ya que puede trabajar con EXIF e IPTC (estndares utilizados por cmara de fotos para intercambiar ficheros d e imgenes con compresin JPEG). Adems reconoce metadatos insertados por cmaras: Canon, Casio, FujiFilm, HP, JVC/ Victor, Kodak, Leaf, Minolta/Konica-Minolta,Nikon,Olympus/Epson,Panasonic/Leica,Pentax/Asahi,Ricoh,Sanyo,Sigma/ FoveonySony.DisponibleparaWindows,MacOSX yenmoduloPerlloquepermiteutilizarlaenLinux. Ms informacin y descarga: http://www.sno.phy.queensu.ca/~phil/exiftool/ Metagoofil, diseada para extraer archivos: pdf, doc,xlsypptdeunsitiowebatravsdegoogle,y analizarlosmetadatosdelosarchivos.Paraobtener informacin y realizar un ataque o un test de intrusin. Esta escrita en python. Ms informacin y descarga: http://www.edge-security.com/metagoofil.php PinpointMetaviewer,permitealosusuariosextraer rpidamentemetadatosdelsistemadearchivos, metadatosOLEcontenidosenMicrosoftOfficey valoreshash.Destacaquepuedeobteneranti-

guosusurarios,enelcasodequefueravariasveces modificadopordiferentespersonas. Ms informacin y descarga: http://www.pinpointlabs.com/free_tools/metaviewer/

Recoleccin de evidencias forenses sistema vivo.Con la herramienta Evidence Collector se puede hacerunarecoleccindeevidenciasforensesen sistemavivodelaplataforma Windows, de una forma muy rpida. Es ideal para un primer anlisis general. Esta herramienta esa compuestaporvariasaplicaciones de SysInternals y nirsoft utilities entre otras. Y genera varios log clasificados por herramientas y aspectos analizados. Conestaherramientapodemosextraerlassiguientes evidencias:


Printed with

Informacin de sistema: Usuarios, IP y MAC . Recursos compartidos y las polticas que se aplicaron a los recursos: Muy prctico para detectarsiatravsdequerecursoscompartidos se pudo acceder a la maquina. Serviciosiniciadosyparados:Algunosservicios pueden ser las puertas para conseguir accesos desautorizados. Softwareinstalados:Listadodelsoftware instalado en la maquina. Actualizaciones instaladas: Enumeracin de actualizaciones instaladas. El no tener elsistemaactualizadoesvulnerabilidad

joliprint


Page 10




potencialmenteexplotable. Enumeracin de procesos: Enumera los procesos que se cargan al inicio del sistema. Registrosdesucesos:Serecogenlosregistrosdeaplicacin,sistemayseguridad.Los registros del sistema guardan rastros de intrusiones. ConexionesTCP/UDP:Muestralas conexionesTCP/UDP,losprocesosquetienen puertos abiertos y a que direcciones se conectan. Ideal para detectar aplicaciones de administracin remota y troyanos. Seguimientodeprocesos:Inspeccionalaactividaddelosprocesos:cuandosecargan,si accedenalregistroysimodificanarchivos. tilparaversiexistenprocesossospechosos. Programas que se aaden al inicio: Al reiniciar las computadoras, muchos malware se aaden en el registro para ser recargados otravez. Mdulossospechosos:Exploramdulosen buscarootkit. HistoriaUSB:Muestrainformacinsobre losdispositivosUSBquefueronconectados al sistema. Polticas de usuarios: Recoge lo usuarios del sistema y las polticas. Para utilizar esta herramienta se necesitan permisos de administrador. Os recomiendo que para usar la herramienta copiis la carpeta del programa en c: para que no tenga problemas a la hora de generar los log, en rutas con nombres largos tiene algunos problemillas.

sistemasoperativos, las sesiones, los nombres de equipo, los puertos abiertos NetworkMinerhace uso de bases de datos de la huellas del sistemaoperativoparaidentificarlosytambinutiliza la listas de Mac fabricantes para identificar dispositivosdered. Estaherramientapuedeextraerlosarchivosque fluyen a travs de una red, excepto los archivos multimedia(talescomoarchivosaudiosovideo) almacenndolosencarpetasclasificadasporIPde lasqueprovienen.Otracaractersticamuytiles que el usuario puede buscar los datos interceptados oalmacenadosporpalabrasclaves. Tambin utiliza mtodos estadsticos para la identificacindeunasesindeTCPoUDP,identificando el protocolo correcto basado en el contenido del paquetedeTCP/UDP.DeestamaneraNetworkMiner puedeidentificarprotocolosinclusosielservicio funciona en un puerto no estndar. Con esta herramienta se puede hacer un sencillo anlisisforensedelascapturasdetraficoguardadas enarchivosPCAP. MsinformacinydescargadeNetworkMiner: http://sourceforge.net/projects/networkminer/

Anlisis forense de accesos no autorizados en NTFS.

MsinformacinydescargadeEvidenceCollector: PodemosaveriguaraccesosnoautorizadosenNTFS http://www.security-database.com/evidence.php usando las herramientas en lnea de comandos gratuitas de Forensic ToolKit. Este Kit de herramienAnlisis de red con sniffer pasivo. tas incluye: Utilizando la herramienta NetworkMiner es un snifferpasivoparaWindows,conuninterfazfcil de utilizar. Puede detectar: los AFind: Herta que lista vos por el ramienlos architiempo

Printed with

joliprint


Page 11



de acceso. AFind permite buscar por tiempos de acceso entre ciertos marcos de tiempo, combinandoestoconDACLchk,sepuededeterminarlaactividaddelusuarioinclusosielaccesoalarchivono se ha permitido. Sintaxis: AFindv2.0-Copyright(c)2000,Foundstone,Inc. NTFSLastAccessTimeFinder CommandLineSwitches [dirname] Directory to search -f[filename]Listlastaccesstimeoffile -s[seconds]Filesaccessedlessthanxsecondsago -m[minutes]Filesaccessedlessthanxminutesago -h[hours]Filesaccessedlessthanxhoursago -d[days]Filesaccessedlessthanxdaysago -a [d/m/y-h:m:s] Files accessed after this date/time -nsExcludesub-directories - or / Either switch statement can be used -? Help Additional time frame usage: afind/s2-4Filesaccessedbetween2and4seconds ago afind/m2-4Filesbetween2and4minutesago afind/s2-4Filesbetween2and4secondsago afind /a 14/7/1998-3:12:06-15/7/1998-2:05:30 Files between these dates HFind:Exploraeldiscobuscandoarchivosocultos. Encontrarcualquieraarchivoocultoinclusolos ocultados por el sistema, usando el atributo archivosdelsistema.steeselmtodoqueutilizaInternet Explorer para ocultar datos. HFind tambin enumera los tiempos de acceso pasados. Sintaxis: HFindv3.0-Copyright(c)2000,Foundstone,Inc. Hiddenfilefinderwithlastaccesstimes Usage-hfind[path]/ns [dirpath] Directory to search - none equals current -nsSkipsub-directories

- or / Either switch statement can be used -? Help SFind:Exploraeldiscobuscandosecuenciasdedatos ocultas y enumera los tiempos de acceso pasados. Sintaxis: SFindv2.0-Copyright(c)1998,Foundstone,Inc. AlternateDataStreamFinder Usage-sfind[path]/ns [dirpath] Directory to search - none equals current -nsSkipsub-directories - or / Either switch statement can be used -? Help FileStat:Muestratodaslospermisosdelosarchivo. Trabajasolamenteconunarchivoalavez.Tambin enumeratiemposdeaccesopasadosclasificadopor usuarios. Sintaxis: FileStatv2.0Copyright(c)1998,Foundstone,Inc. DumpsNTFSsecurity,file,andstreamattributes CommandLineSwitches [Filename]Nameoffiletolist -? Help DACLchk:MuestralasACLconlainformacinde accesospasados,detodoslosarchivosdeundirectorio,enordeninverso. Sintaxis: DACLchkv2.0-Copyright(c)1999,Foundstone,Inc. NTFSDACLACEOrderDetector DumpsanyACLthathasDeniedandAllowedACEs inreverseorder Usage-sfind[path]/ns [dirpath] Directory to search - none equals current -dDumpallDACLs-DontdetectreversedACEs -nsSkipsub-directories - or / Either switch statement can be used

Printed with

joliprint



Page 12



-? Help Audited: Esta herramienta combina la informacin deaccesoaficherosconlainformacindeauditoriadeWindows.Solofuncionasisetienehabilitado las polticas de auditoria. Sintaxis: Auditedv2.0-Copyright(c)1998,Foundstone,Inc. NTFSSACLReporter-Findsauditedfiles Usage - audited [path] /ns [dirpath] Directory to search - none equals current -dDumpfileauditattributes -r[hivekey]Dumpregistryauditattributes -s[subkey]Optionalsub-keytosearch -vVerbosemode -nsSkipsub-directories/subkeys - or / Either switch statement can be used Regkeyconstantsare-HKLM,HKCR,HKCU,HKU, HKCC Dumpsentireregifnokeynameisspecified -? Help Hunt: Es una herramienta para mostrar si un sistemarevelademasiadainformacinvaNULLsessions. Sintaxis: Huntv2.0-Copyright(c)1998,Foundstone,Inc. SMBshareenumeratorandadminfinder Usage-hunt\\servername /? = Help Estas herramientas solo funcionan si se usan con privilegiosdeadministrador. Ms informacin y descarga de Forensic ToolKit: http://www.foundstone.com/us/resources/proddesc/ forensictoolkit.htm

Ver todos los dispositivos USB que fueron conectados en Windows.Como ya he comentado en anteriores post, los dispositivosUSBdealmacenamiento,sonmuyprcticos, pero puede resultar un problema de seguridad, porque atravsdeellospueden infectar nuestro sistema o ser usados parallevarinformacin crtica del sistema. Con la herramienta USBDeviewpodemos verquedispositivosUSBfueronconectadosalsistema y cuando. Esta herramienta puede mostrar la siguiente informacin sobre el dispositivo: nombre,descripcin,tipodedispositivo,letrade unidad, nmero de serie, fecha de instalacin, fecha deltimaconexinydesconexin. Tambinpermitebloquearlosdispositivosqueseleccionemos, desinstalarlos o bloquear todos los dispositivosUSBqueseconectenalsistema.Esuna aplicacin que apenas ocupa 84 Kb lo que la convierteenunaherramientaparaaadiranuestra coleccin de software portable de seguridad. MsinformacinydescargadeUSBDeview: http://www.nirsoft.net/utils/usb_devices_view.html AuditarusodedispositivosUSB,FireWireyPCMCIA: http://vtroger.blogspot.com/2006/09/auditar-usode-dispositivos-usb.html

joliprint


Recuperar correos electrnicos borrados en Outlook.Los correos electrnicos que eliminamos de la bandeja de elementos eliminados se pueden recuperar, debido a que Microsoft Outlook no

Printed with


Page 13



borra la informacin definitivamenteenel ficherodealmacenamiento de buzones (*.PST),solohaceuna marca, para que no aparezcan. Para recuperar ests correos usamos una herramientaquevieneocultaenOutlook,parareparaarchivosPSTdaados,laHerramientadeReparacindelaBandejadeEntrada,suejecutable esSCANPST.EXEyseencuentraenlaruta: VersionesposterioresaOffice2007: C:\Archivosdeprograma\Archivoscomunes\System\ MSMAPI\3082 EnOffice2007: C:\Archivosdeprograma\MicrosoftOffice\Office12 PeroestaherramientasolofuncionaconPSTdaados, para poder usarla para recuperar correos debemosdaarnuestroPSTsintocarloscorreos,solo modificandolacabecera.ParadaarelarchivoPST lomodificamosconuneditorhexadecimalycambiamos el primer byte introduciendo cualquier valor(paramayorseguridadpodemoshaceruna copiadelPST).ElarchivoPSTseencuentraentodas lasversionesdeOutlooken: C:\DocumentsandSettings\nombredeusuario\ Configuracinlocal\Datosdeprograma\Microsoft\ Outlook UnavezdaadoelPSTpodemosusarlaHerramienta de Reparacin de la Bandeja de Entrada, esta herramienta recuperara todos los correos quitando las marcas de borrado que encuentre, y de esta forma aparecern todos los correos incluso los borradosdefinitivamente.

EstatcnicasepuedeusartambinparaOutlook Express.OutlookExpressusaarchivosDBXpara almacenarcorreosenvezdePSTyestnalmacenados en la ruta: C:\DocumentsandSettings\nombredeusuario\ Configuracinlocal\Datosdeprograma\Identities\ {BB4C88D8-ABD9-4A94-801D-5F2A28712F57}\Microsoft\OutlookExpress SiguiendoelmismoprocesoparacorromperPST, corrompemoslosDBXydespusutilizamoslaherramientaDBXBackuppararecuperarloscorreos electrnicos. Nosepuedenrecuperartodoslosarchivosborrados sololosmsrecientesyaqueOutlookcadacierto limpiasusPST,detodasformasestastcnicaesmuy eficaz. DescargadeherramientaDBXBackup: http://www.mailnavigator.com/recupexpress.html

Recuperacin de datos en CD y DVD daados.LosmediospticoscomoelCDyDVDguardanlos datosduranteuntiempofinito,aunquedependiendo de la calidad del mismo suelen durar muchos aos. El deterioro de un CD/DVD suele producirse desde la regin interna del disco hasta su regin externa. E x i s t e una herram i e nt a que nos puede ayudar a recuperar informacin de soportes pticos daados, que muchas veces no son legibles por el sistema y llegan a bloquear launidad.SetratadeDvdisasterunaaplicacinque permite recuperar perdigadas de informacin por deterioro del soporte.

Printed with

joliprint



Page 14



Dvdisastergeneraunarchivodecorreccindeerrores ECC del disco y una imagen de dicho disco. A partirdelaimagendeldiscoyelficherodeECC corrige los sectores que no son legibles y el resultadolovuelcaunanuevaimagenconloqueseha podido recuperar del disco. Aunquesuusoestapensadoparagenerararchivos ECC como copias de seguridad de CD/DVD con informacin importante, para su posterior recuperacinconDvdisasterencasodedeterioro.Sepuede usar para recuperar CD/DVD con errores, claro esta, con menos probabilidades de obtener buenos resultados. Tambin se puede usar para comprobar el estado de un CD/DVD. Estadisponibleenlasplataformas:FreeBSD,Linux ,MacOSX,NetBSDyWindows2000oXP.Soporta: CD-R, CD-RW, DVD-R, DVD+R, DVD-R DL, DVD+R DL,DVD-RW,DVD+RWyDVD-RAM. MsinformacinydescargadeDvdisaster: http://dvdisaster.net/

se utiliza la herramienta desde otro sistema operativoyconelsistemaainvestigaren su soporte sin cargar. En este caso, los datos que se obtienen corresponden a la integridaddearchivos,estructuradeficheros,logs del sistema y datos borrados. Unanlisisdesistemavivoocurrecuando se est analizando el sistema sospechoso mientras est funcionando. Este anlisis se utiliza mientras que se est produciendo el incidente y se analiza bsicamente: procesos,memoria,ficherosDespusdequese confirmelaamenaza,elsistemapuedeser adquiridoenunaimagenparaconservarlo sin corrupciones posteriores y as realizar anlisis de sistema muerto. Esta aplicacin posee las siguientes tcnicas de bsquedadeevidencias: Listadodelarchivo:Analizalosarchivosylosdirectorios,incluyendolosnombresdearchivossuprimidos. Elcontenidodearchivos:Sepuedeverenformato raw,hexoASCII.Cuandoseinterpretanlosdatos, laautopsialosesterilizaparaprevenircorrupcin por parte del anlisis del sistema local. Bases de datos de Hash: Los archivos son reconocidos como buenos o perjudiciales para el sistema basndose en la biblioteca de referenciadelsoftwareNIST(NSRL)ylasbasesdedatos creadas por el usuario. Clasificacindetiposdearchivoporextensiones: Clasificalosarchivosbasndoseensusfirmasinternasparaidentificarextensionesconocidas.La autopsia puede tambin extraer solamente imgenesgrficasycomparareltipodearchivopara

Suite completa para informtica forense.SetratadeAutopsyForensicBrowseresuninterfazgrficobasadoenlasherramientasenlneade comandosdelSleuthKit.Lacombinacindeestas herramientasinstaladaenunservidorutilizando unsistemabasadoenlaplataformaUnixformanun una completa suite informtica que solo necesita de unsistemaoperativoconnavegadorparaaccedera ella.YaqueAutopsyForensicBrowserproporciona unaaplicacinbasadaenHTMLquepuedeusarse para anlisis forenses de los sistemas Windows y UNIXsoportandosistemasdeficheros(NTFS,FAT, UFS1/2,Ext2/3). Sufilosofadefuncionamientosebasaenlabuena prctica forense partiendo de dos tipos de anlisis:Clickheretosendyourfeedback Printed with

joliprint

Un anlisis de sistema muerto, en este caso


Page 15



identificarposiblescambiosenlaextensinpara ocultarlos. Lneadetiempodelaactividaddelarchivo:Enalgunoscasos,tenerunalneadetiempodelaactividaddelarchivopuedeayudaraidentificarreas de un sistema de ficheros que puedan contener evidencias. La autopsia puede crear la lnea de tiempoquecontienenlosregistrosde:modificacin, acceso,ycambiosdefechasenlosarchivos. Bsquedadepalabraclave:Lasbsquedasdepalabraclavedelaimagendelsistemadeficherosse puedenrealizarusandosecuenciasdelASCIIyexpresionesregulares.Lasbsquedassepuedenrealizarenlaimagencompletadelsistemadeficheros. Anlisisdelosmetadatos:Lasestructurasdelos metadatoscontienenlosdetallessobrearchivosy directorios.Laautopsiapermiteunavisinlosdetalles de cualquier estructura de los meta datos en elsistemadeficheros.Estoestilpararecuperar el contenido eliminado. La autopsia buscar los directoriosparaidentificarlatrayectoriadelosarchivo.Clickheretosendyourfeedback

igualesalosdelusuariooriginal.Cadaanfitrin puede contener unas o ms imgenes del sistema deficherosparaanalizar. Secuenciadordeacontecimientos:LosacontecimientossepuedenagregardeloslogdeunIDSodeun cortafuegos.Laautopsiaclasificalosacontecimientos para poder determinar ms fcilmente la secuencia de los acontecimientos del incidente. Notas:Lasnotassepuedenclasificarenunabase dedatosorganizadosporanfitrinyinvestigador. Estopermitehacernotasrpidassobrearchivosy estructuras. Integridad de imagen: Es crucial asegurarse de que losarchivosnoestnmodificadosduranteanlisis. Laautopsia,pordefecto,generarunvalorMD5 paratodoslosarchivos.Sepuedevalidarencualquiermomento,laintegridaddecualquierarchivo que la autopsia utiliza. Informes:Laautopsiapuedecrearlosinformespara losarchivosyotrasestructurasdelsistemadeficheros. Registros:Losregistrosdelaintervencinsecrean enuncaso,unanfitrin,yunniveldelinvestigador para poder recordar fcilmente las acciones y los comandos ejecutados. Entrelascaractersticasdeestekithayquedestacar queestabasadoenunaaplicacincliente-servidor enHTMLporlotantonohaytrabajarenelmismo sistemaquelasimgenesdelsistemadeficheros. Estopermitequemltiplesinvestigadoresutilicen elmismoservidoryconectensussistemaspersonales. Ms informacin y descarga de Autopsy Forensic Browser: http://www.sleuthkit.org/autopsy/desc.php Herramientasforensesdelsistemadeficheros

Detallesdelaimagen:Sepuedenverlosdetalles delsistemadeficheros,incluyendoladisposicin endiscoypocasdeactividad.Estemodoproporciona informacin til durante la recuperacin de datos. Enlosqueserefierealagestindediferentescasos y la elaboracin de informes esta suite posee mdulos como: GerenciadelCaso:Lasinvestigacionessonorganizadas por casos, que pueden contener uno o ms anfitriones. Cada anfitrin se configura para te ner su propia posicin, ajuste de reloj y de zona horaria de modo que los tiemposexaminadossean

Printed with

joliprint


Page 16



http://vtroger.blogspot.com/2006/08/herramientasforenses-del-sistema-de.html

Herramientas forenses del sistema de ficherosElSleuthKit2.05esunacoleccindeherramientas forensesdelsistemadeficherosquepodemosusar enLinux,ynospermiteinvestigarlossistemasde ficheros: TFS, AT, FS, N F F EXT2FS y EXT3FS de una computadora sospechosa de un ataque informtico. Las herramientas estn diseadasparaextraer datosdelasestructurasinternasdelsistemadeficheros. Porque las herramientas no confan en el sistemaoperativoparaprocesarelcontenidosuprimidoyocultadodelossistemasdeficheros.Con esta herramienta podemos obtener datos como: fechaenquesehanmodificado,creadooaccedido cualquieradelosficherosdeunsistemadeficheros. DescargaTheSleuthKit2.05: http://www.net-security.org/software.php?id=215 EjemplodeusodeTheSleuthKit2.05enlapagina 9apartado1.4: http://www.seguridad.unam.mx/eventos/reto/uno_ tecnico.pdf

Averiguar las pginas visitadas en IE aunque se borre el historial.InternetExplorergeneraunarchivollamadoindex. datenelquealmacenalaspaginasvisitadaspor el usuario, las cookies y la cache de ficheros. Aunque un usuario borre el historial, la cache y las cookies este fichero mantiene un registro que no se puede borrar en modo normal, soloenmodoseguro.Esteficherotambinguarda un registro de las palabras usadas cuando la opcin autocompletarestaactiva.Paraleerelregistropueden usar herramientas como: IndexDatSpypermitebuscarestsarchivosleerlos y eliminarlos. Index.datsuitetambinpermiteleerlosyeliminarlos. Index.datAnalyzerqueademsdeposeerlasmisma opciones que los otros, tiene la opcin borrar entradasespecificas. Estearchivoesusadoporelmalwareparaobtener informacinsobrenuestroshbitosdenavegacin. ActualmenteInternetExplorer7tienesolucionado dicho problema de seguridad. IndexDatSpy: http://www.stevengould.org/software/indexdatspy/ index.datsuite: h t t p : / / s u p p o r t . i t - m a t e . co.uk/?mode=Products&p=index.datsuite Index.datAnalyzer: http://www.systenance.com/indexdat.php

Printed with

joliprint



Page 17

Informática Forense

Documents

Transcript of Informática Forense